En una red plana —donde todas las impresoras, laptops, cámaras IP y servidores comparten el mismo dominio de broadcast— basta con que un atacante comprometa un endpoint para moverse lateralmente hasta donde quiera. La segmentación con VLANs es la primera línea de defensa estructural contra este escenario, y sin embargo sigue siendo una de las áreas peor diseñadas en PYMES chilenas.

Esta guía explica cómo diseñar VLANs correctamente, qué errores clásicos evitar, cómo enrutar entre ellas con políticas de firewall y cuándo evolucionar hacia microsegmentación. El estándar base es IEEE 802.1Q.

Contenido

  1. ¿Qué es una VLAN y por qué segmentar?
  2. Beneficios concretos de segmentar
  3. Diseño de VLANs: esquema típico empresarial
  4. Configuración en switches (Cisco, MikroTik, Aruba)
  5. Inter-VLAN routing con políticas
  6. Seguridad VLAN: prevenir hopping y abuso
  7. Cuándo evolucionar a microsegmentación
  8. Preguntas frecuentes

¿Qué es una VLAN y por qué segmentar?

Una VLAN (Virtual LAN) es un dominio de broadcast lógico creado sobre una infraestructura física común. Dos equipos en VLANs distintas no se ven a nivel de capa 2 aunque estén conectados al mismo switch, y la comunicación entre ellos requiere pasar por un router o firewall que aplique políticas.

La separación se logra con etiquetas 802.1Q (tags) que viajan en el encabezado Ethernet cuando el tráfico atraviesa un "trunk" entre switches. Cada VLAN tiene un VLAN ID de 1 a 4094.

Beneficios concretos de segmentar

1. Contención de ataques y ransomware

Si un endpoint infectado no puede llegar directamente al servidor de archivos porque están en VLANs separadas con políticas, el ransomware no se propaga lateralmente. Complementa bien nuestras recomendaciones sobre protección contra ransomware.

2. Reducción de broadcast

En una red plana con 500 hosts, cada ARP, DHCP o mDNS se propaga a todos. En 5 VLANs de 100 hosts cada una, el broadcast se reduce proporcionalmente. Mejora performance y reduce CPU en NIC.

3. Cumplimiento normativo

PCI-DSS exige segmentación entre redes de pago y redes generales. ISO 27001 Anexo A.13 solicita segregación. La Ley 21.663 chilena, al exigir medidas técnicas "apropiadas", se interpreta habitualmente incluyendo segmentación básica.

4. Aplicación de políticas por zona

QoS diferenciada para VoIP. Filtrado estricto en VLAN de invitados. Inspección profunda en tráfico IoT. Cada zona con su política adecuada.

Diseño de VLANs: esquema típico empresarial

Un diseño base que implementamos regularmente en clientes UpTech de 50-300 empleados:

VLAN IDNombreSubredUso
10MGMT10.0.10.0/24Gestión switches, APs, UPS, iDRAC
20SERVERS10.0.20.0/24Servidores físicos y VMs productivas
30USERS10.0.30.0/23Estaciones de trabajo empleados
40VOICE10.0.40.0/24Teléfonos IP, MCUs de video
50PRINTERS10.0.50.0/24Impresoras y MFPs
60IOT10.0.60.0/24Cámaras IP, sensores, control acceso
70GUEST10.0.70.0/23Wi-Fi invitados con salida directa a internet
80DMZ10.0.80.0/24Servidores expuestos (web, correo relay)
99NATIVEunusedNative VLAN del trunk (no asignar hosts)
Principio clave: la VLAN "nativa" del trunk (por defecto VLAN 1 en Cisco, VLAN 0 en MikroTik) debe cambiarse a una VLAN no usada. Nunca dejes hosts productivos en VLAN 1.

Configuración en switches (Cisco, MikroTik, Aruba)

Cisco Catalyst / Nexus

! Crear VLANs vlan 10 name MGMT vlan 20 name SERVERS vlan 30 name USERS ! Puerto de acceso (user endpoint) interface GigabitEthernet1/0/5 switchport mode access switchport access vlan 30 switchport voice vlan 40 spanning-tree portfast spanning-tree bpduguard enable storm-control broadcast level 1.00 ! Trunk entre switches interface GigabitEthernet1/0/48 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk native vlan 99 switchport trunk allowed vlan 10,20,30,40,50,60,70,80 switchport nonegotiate

MikroTik RouterOS (bridge VLAN filtering)

# Habilitar VLAN filtering /interface bridge set bridge1 vlan-filtering=yes # Definir VLANs permitidas /interface bridge vlan add bridge=bridge1 vlan-ids=10 tagged=bridge1,ether1 untagged=ether24 add bridge=bridge1 vlan-ids=30 tagged=bridge1,ether1 untagged=ether2,ether3 # Asignar PVID a puerto de acceso /interface bridge port set [find interface=ether2] pvid=30 frame-types=admit-only-untagged-and-priority-tagged

Aruba / HP ProCurve

vlan 30 name "USERS" tagged 48 untagged 1-24 vlan 99 name "NATIVE-UNUSED" tagged 48

Inter-VLAN routing con políticas

Las VLANs segmentan capa 2, pero el valor real surge cuando el enrutamiento entre ellas pasa por un firewall que aplica política. Dos opciones:

Router-on-a-stick / SVI + firewall zoning

El switch L3 mantiene SVIs (Switched Virtual Interfaces) como gateway de cada VLAN, pero ACLs estrictas limitan el tráfico inter-VLAN. Mejor performance, menos capacidad de inspección.

Firewall como gateway de VLANs críticas

VLANs sensibles (SERVERS, MGMT, DMZ, IOT) terminan directamente en interfaces del NGFW. El firewall aplica inspección completa (IPS, AV, App-ID) en cada flujo inter-VLAN. Es el estándar hoy.

# Ejemplo: política de firewall entre VLANs USERS → SERVERS : permit tcp 443,3389,445 con inspección AV+IPS USERS → IOT : deny all USERS → MGMT : deny all IOT → INTERNET : permit HTTPS solo a destinos whitelist GUEST → INTERNAL : deny all MGMT → INTERNET : deny all (excepto updates firmado)

Seguridad VLAN: prevenir hopping y abuso

Prevenir VLAN hopping

Port Security y 802.1X

Private VLANs (PVLAN)

Útiles para aislar hosts dentro de la misma subred: "community" comunican entre sí, "isolated" solo con el promiscuous port. Clásico en segmentación de DMZ.

Cuándo evolucionar a microsegmentación

La VLAN segmenta a nivel de grupo. La microsegmentación aplica políticas a nivel de carga individual (VM, contenedor, host), independiente de su ubicación de red. Tecnologías habituales:

Microsegmentación tiene sentido cuando ya tienes VLANs bien diseñadas, cumples normativas que lo exigen (PCI-DSS zonas de pago), o migras a un modelo Zero Trust. Es la evolución natural, no el punto de partida.

Combina VLANs con Wi-Fi empresarial (SSID por VLAN), un NGFW como gateway y monitoreo proactivo para una red moderna y segura.

¿Rediseñamos tu red con segmentación sólida?

UpTech diseña e implementa redes empresariales con VLANs, NGFW y microsegmentación en Chile.

Ver Redes e Infraestructura →

Preguntas frecuentes

¿Qué es una VLAN?

Una VLAN (Virtual LAN) es un dominio de broadcast lógico dentro de una red física, definido por etiquetas 802.1Q que separan tráfico aunque comparta el mismo cableado. Permite aislar grupos lógicos sin desplegar cables separados.

¿Cuántas VLANs debe tener mi empresa?

Depende del tamaño. Mínimo recomendado: MGMT, SERVERS, USERS, VOICE, PRINTERS, IOT, GUEST y DMZ si hay servicios públicos. Empresas medianas (50-300 empleados) operan entre 6 y 20 VLANs. Grandes datacenters pueden tener cientos.

¿Qué es VLAN hopping y cómo prevenirlo?

Es una técnica de ataque donde un host salta desde su VLAN a otra. Se previene deshabilitando DTP (switchport nonegotiate), cambiando la native VLAN del trunk a una no usada, y aplicando port security + BPDU Guard.

¿VLAN es suficiente o necesito microsegmentación?

La VLAN segmenta a nivel L2/L3 entre grupos de hosts. La microsegmentación aplica políticas a nivel de carga individual (host/VM/container) con etiquetas lógicas, reforzando zero trust. Primero VLANs bien diseñadas; microsegmentación cuando la madurez lo amerita.

¿Qué tamaño de subred uso por VLAN?

Como regla: /24 para la mayoría de grupos (254 hosts útiles), /23 si necesitas más, /28-/30 para enlaces punto a punto y VLANs de gestión. Evita /16 planos; grandes dominios de broadcast son ineficientes y poco seguros.

¿VoIP requiere VLAN dedicada?

Sí, es mejor práctica. Una VLAN de voz con QoS DSCP EF (46) garantiza baja latencia y jitter. Los switches modernos soportan "voice VLAN" con LLDP-MED para autoconfiguración de teléfonos Cisco, Yealink, Grandstream, etc.